Dramatičan porast tzv. direktorskih phishing prevara
Zaposleni misli da je dobio imejl od svog šefa u kome on traži da se izvrši određena finansijska transakcija
Kompanije oštećene za $2.3 milijardi u „direktorskoj imejl prevari“
FBI je aprila 2016. upozorio javnost o dramatičnom porastu tzv. „direktorskih imejl prevara“ - CEO Fraud. U pitanju je takva vrsta imejl prevare gde zaposleni misli da je dobio imejl od svog šefa u kome on traži da se izvrši određena finansijska transakcija, a novac, u stvari, završi na računu napadača. FBI procenjuje da su u protekle 3 godine kompanije izgubile $2.3 milijarde u ovakvim prevarama. Od januara 2015., dokumentovano je povećanje ovih prevara za čak 2,7 puta. Žrtve su kompanije u svim američkim saveznim državama i kompanije u 79 država širom sveta.
Ova prevara se odvija na sledeći način: Napadač phishing napadom hakuje imejl nalog nekog od rukovodilaca kompanije ili pošalje imejl zaposlenom sa nekog domena koji je veoma sličan domenu kompanije i koji se razlikuje od pravog u jednom ili dva karaktera. Na primer, ako je domen kompanije mete napada „prolece.com“, napadač registruje domen „pro1ece.com“ (zameni slovo „L“ brojem „1“) ili registruje domen „prolece.co“ i sa njega pošalje imejl poruku (sličan primer lažnog imejla Privredne komore Srbije, poslatog sa domena pksrs.com).
Za razliku od uobičajenih phishing prevara, imejl poruke koje se šalju u „direktorskoj prevari“ retko alarmiraju antispam zaštitu zato što se ne šalju masovno na razne adrese, nego ciljano na jednu. Takođe, prevara se pažljivo planira tako što napadač pre napada upoznaje odnose, aktivnosti, interesovanja, planove putovanja i kupovina u organizaciji. Napadač najpre skida sa sajta kompanije dostupne informacije: imejl adrese zaposlenih i sve ostalo što mu može pomoći kako bi pismo koje sastavi bilo što uverljivije. U slučajevima kada je napadač hakovao imejl nalog zaposlenog ili rukovodioca, on u imejl porukama traži određene pojmove koji mu mogu pomoći da otkrije da li kompanija redovno vrši finansijske transakcije; traži poruke koje sadrže reči poput „faktura“, „depozit“, „predsednik“.
Na prvu loptu, ovakva vrsta prevara deluje nesofisticirano u odnosu na prevare koje uključuju kompleksne maliciozne softvere, poput Dyre ili ZeuS-a. Ali, u praksi se pokazalo da je „direktorska imejl prevara“ sve raznovrsnija i veštija u zaobilaženju osnovnih bezbednosnih strategija koje koriste banke i njeni klijenti. U uobičajenim phishing prevarama, napadač pravi interakciju direktno sa bankom potencijalne žrtve, dok u ovoj prevari napadač praktično navede žrtvu da ona sama to učini umesto njega. FBI procenjuje da su kompanije prosečno u ovim napadima gubile između $25.000 i $75.000. Međutim, bilo je i slučajeva kada je jedna organizacija prevarena za milione dolara. Npr, „Mattel“, kompanija koja proizvodi igračke (Barbie), je u ovoj prevari izgubila $3 milona, firma „Ubiquiti“ čak $46.7 miliona, „The Scoular Co.“ $17.2 miliona.
FBI kao zaštitu organizacijama predlaže imejl autentifikaciju u 2 koraka i uspostavljanje dodatnih kanala komunikacije za transakcije visokih iznosa, npr. verifikacija telefonskim pozivom. Takođe se savetuje da kompanije ne objavljuju informacije o aktivnostima zaposlenih na svojim sajtovima i društvenim mrežama, jer napadačima neke od tih informacija mogu biti od izuzetne važnosti.
Pomalo iznenađujuće, neki stručnjaci za bezbednost smatraju da su problemi phishinga i spama uspešno rešeni i da više ne predstavljaju pretnju za organizaciju. Oni smatraju da je adekvatna kombinacija crnih lista i režima validacije imejla kao što su DKIM i SPF dovoljna zaštita. Ali, prevara poput „direktorske“ je uspešna zato što su zaposleni nasamareni da zaobiđu ili ignorišu osnovne bezbednosne mere. Ono što može pomoći da se broj ovakvih prevara smanji je obuka i edukacija zaposlenih. Morate imati na umu da napadači konstantno testiraju bezbednosnu budnost korisnika. I organizacije bi trebalo da rade isto to, da prave periodične provere kako bi identifikovali problematične korisnike i povećali bezbednosne kontrolne mehanizme spram njih.
Izvor: KrebsOnSecurity